CN107612895A - 一种互联网防攻击方法及认证服务器 - Google Patents
一种互联网防攻击方法及认证服务器 Download PDFInfo
- Publication number
- CN107612895A CN107612895A CN201710791391.7A CN201710791391A CN107612895A CN 107612895 A CN107612895 A CN 107612895A CN 201710791391 A CN201710791391 A CN 201710791391A CN 107612895 A CN107612895 A CN 107612895A
- Authority
- CN
- China
- Prior art keywords
- user
- request
- service
- address
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/06—Protocols specially adapted for file transfer, e.g. file transfer protocol [FTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0227—Filtering policies
- H04L63/0236—Filtering by address, protocol, port number or service, e.g. IP-address or URL
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0884—Network architectures or network communication protocols for network security for authentication of entities by delegation of authentication, e.g. a proxy authenticates an entity to be authenticated on behalf of this entity vis-à-vis an authentication entity
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/02—Protocols based on web technology, e.g. hypertext transfer protocol [HTTP]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/23—Processing of content or additional data; Elementary server operations; Server middleware
- H04N21/239—Interfacing the upstream path of the transmission network, e.g. prioritizing client content requests
- H04N21/2393—Interfacing the upstream path of the transmission network, e.g. prioritizing client content requests involving handling client requests
- H04N21/2396—Interfacing the upstream path of the transmission network, e.g. prioritizing client content requests involving handling client requests characterized by admission policies
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04N—PICTORIAL COMMUNICATION, e.g. TELEVISION
- H04N21/00—Selective content distribution, e.g. interactive television or video on demand [VOD]
- H04N21/20—Servers specifically adapted for the distribution of content, e.g. VOD servers; Operations thereof
- H04N21/25—Management operations performed by the server for facilitating the content distribution or administrating data related to end-users or client devices, e.g. end-user or client device authentication, learning user preferences for recommending movies
- H04N21/258—Client or end-user data management, e.g. managing client capabilities, user preferences or demographics, processing of multiple end-users preferences to derive collaborative data
- H04N21/25808—Management of client data
- H04N21/25816—Management of client data involving client authentication
Abstract
本发明实施例提供了一种互联网防攻击方法及认证服务器,包括:认证服务器通过WEB接口从内容分发网络节点组接收用户发送的业务接入请求,业务接入请求中携带用户的互联网协议IP地址。认证服务器向安全网关发送接入认证请求,接入认证请求中携带用户的IP地址,接入认证请求用于指示安全网关允许携带用户的IP地址的业务服务请求发送至业务服务器。由于安全网关根据认证服务器发送的用户的IP地址对业务服务请求进行判决,而不是根据设置的单一的防范规则对用户的业务服务请求进行判决,从而提高了判决的准确性,增强了防攻击能力。本发明提出的互联网防攻击方法隐藏认证服务器的IP地址,防止攻击者直接对认证服务器IP进行攻击。
Description
技术领域
本发明实施例涉及网络安全技术领域,尤其涉及一种互联网防攻击方法及认证服务器。
背景技术
随着互联网的发展,网络恶意攻击也越来越多,CC(Challenge Collapsar)攻击、流量攻击等攻击方式层出不穷。面对各种各样的攻击方式,传统的防攻击方式中利用内容分发网络(Content Delivery Network,简称CDN)隐藏源站互联网协议(InternetProtocol,简称IP)和分布式多节点扛攻击流量的方式来进行保护,但是对于一些专有应用等互联网服务,由于需要将源站的IP直接暴露给用户,就没办法采用CDN等方式进行防护。对于不能采用CDN进行防护的互联网应用可以采用防火墙技术进行防护。传统防火墙上根据设置的安全规则,判断是否属于攻击,如果是攻击,则防火墙禁止访问,若不是攻击,则放行请求,源站正常响应。但是传统的防火墙防范规则比较单一,防攻击能力有限,只能识别并禁止部分的攻击,其它攻击进入源站后,源站将需要对攻击进行判决和响应,从而占用源站的资源,影响源站的正常工作。
发明内容
本发明实施例提供一种互联网防攻击方法及认证服务器,用于解决现有技术中部分互联网服务不能使用CDN进行防攻击以及传统的防火墙由于防范规则单一导致防攻击能力有限的问题。
本发明实施例提供了一种互联网防攻击方法,包括:
认证服务器从内容分发网络节点组接收用户发送的业务接入请求,所述业务接入请求中携带了用户的IP地址;
所述认证服务器向安全网关发送接入认证请求,所述接入认证请求中携带所述用户的IP地址,所述接入认证请求用于指示所述安全网关允许携带所述用户的IP地址的业务服务请求发送至所述业务服务器。
可选地,所述业务接入请求是经过所述内容分发网络节点组验证通过后的请求。
可选地,所述业务接入请求中携带了所述用户的验证信息;
所述认证服务器向安全网关发送接入认证请求之前,还包括:
所述认证服务器对所述业务接入请求中携带的用户的验证信息进行验证。
可选地,所述业务接入请求为登录请求,所述验证信息为登录信息;或
所述业务接入请求为验证请求,所述验证信息为登录成功消息;所述登录成功消息是登录服务器确定所述用户的登录请求验证通过后发送的。
可选地,还包括:
所述认证服务器通过全球广域网(World Wide Web,简称WEB)WEB接口接收所述用户发送的所述业务接入请求。
本发明实施例提供了一种互联网防攻击方法,包括:
安全网关接收认证服务器发送的接入认证请求,所述接入认证请求携带有用户的IP地址,所述用户的IP地址是从用户发送的业务接入请求中获取的;
所述安全网关确认所述认证服务器具有访问权限后,将所述用户的IP地址确定为具有访问所述业务服务器的权限的IP地址。
可选地,还包括:
所述安全网关接收所述用户发送的业务服务请求,所述业务服务请求携带所述用户的IP地址;
所述安全网关根据所述用户的IP地址确定所述用户具有访问所述业务服务器的权限后,允许所述业务服务请求发送至所述业务服务器。
相应地,本发明实施例提供了一种认证服务器,包括:
接收模块,用于从内容分发网络节点组接收用户发送的业务接入请求,所述业务接入请求中携带了用户的IP地址;
处理模块,用于向安全网关发送接入认证请求,所述接入认证请求中携带所述用户的IP地址,所述接入认证请求用于指示所述安全网关允许携带所述用户的IP地址的业务服务请求发送至所述业务服务器。
可选地,所述业务接入请求中携带了用户的验证信息;
所述处理模块还用于:
向安全网关发送接入认证请求之前,对所述业务接入请求中携带的用户的验证信息进行验证。
可选地,所述业务接入请求是经过所述内容分发网络节点组验证通过后的请求。
可选地,还包括:WEB接口;
所述WEB接口用于接收所述用户发送的所述业务接入请求。
本发明实施例提供了一种处理器,所述处理器用于执行上述任一项所述的方法。
本发明实施例提供一种计算机存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述任一项所述的方法。
上述实施例提供的一种互联网防攻击方法及认证服务器,包括:认证服务器从内容分发网络节点组接收用户发送的业务接入请求,所述业务接入请求中携带了用户的互联网协议IP地址;所述认证服务器向安全网关发送接入认证请求,所述接入认证请求中携带所述用户的IP地址,所述接入认证请求用于指示所述安全网关允许携带所述用户的IP地址的业务服务请求发送至所述业务服务器。本发明实施例中,由于用户向业务服务器发送业务服务请求之前,先向认证服务器发送业务接入请求。认证服务器对业务接入请求中的验证信息进行验证,在确定验证信息合法时将业务接入请求中的用户的IP地址发送至业务服务器的安全网关,故安全网关能根据认证服务器发送的用户的IP地址对接收的业务服务请求进行判决,而不是仅仅根据预先设置的单一的防范规则对用户的业务服务请求进行判决,从而提高了业务服务请求判决的准确性,增强了防攻击能力。由于所有用户的业务服务请求先需经过安全网关的判决后才能进入业务服务器,故攻击流量不会直接进入源站,从而保证了源站的正常运行。由于使用CDN技术隐藏认证服务器的IP地址,防止了攻击者直接对认证服务器IP进行攻击,同时CDN节点组能对业务接入请求进行验证,从而提高了防攻击能力。在进行防攻击改造时,只需在认证服务器中部署WEB服务并设置WEB接口给用户请求,从而简化了防攻击部署的流程,防攻击改造便捷。
附图说明
为了更清楚地说明本发明实施例中的技术方案,下面将对实施例描述中所需要使用的附图作简要介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域的普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例适用的一种系统架构示意图;
图2为本发明实施例提供的一种互联网防攻击方法的流程示意图;
图3为本发明实施例提供的一种业务服务请求过程的示意图;
图4为本发明实施例提供的另一种互联网防攻击方法的流程示意图;
图5为本发明实施例提供的一种认证服务器的结构示意图;
图6为本发明实施例提供的一种安全网关的结构示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,以下结合附图及实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
图1示例性示出了本发明实施例适用的一种系统架构示意图,如图1所示,本发明实施例适用的系统架构包括用户端101、认证服务器102、安全网关103以及业务服务器104。用户端101可以为用户设备(User Equipment,简称UE)、无线通信设备、车载设备、可穿戴设备等。安全网关103为业务服务器104的安全网关,安全网关103可以指硬件防火墙、软件防火墙、路由器等。安全网关103可以设置为一个业务服务器的安全网关,也可以设置为多个业务服务器的上层安全网关,还可以设置为业务服务器所在机房的入口安全网关。认证服务器102与用户端101和安全网关103连接,用于接收用户发送的业务接入请求并对用户发送的业务接入请求进行验证,并在验证通过后向安全网关103发送接入认证请求。安全网关103接收认证服务器102发送的接入认证请求后,将接入认证请求中携带的用户的IP地址进行本地保存。安全网关103还与用户端101连接,用于接收用户发送的业务服务请求,然后根据用户发送的业务服务请求中携带的用户的IP地址和认证服务器102发送的用户的IP地址确定是否允许用户的业务服务请求发送至业务服务器104。业务服务器104与安全网关103连接,用于接收安全网关103发送的业务服务请求并对业务服务请求进行处理。
基于图1所示的系统架构,如图2所示,本发明实施例提供的一种互联网防攻击方法,包括以下步骤:
步骤S201,认证服务器从内容分发网络节点组接收用户发送的业务接入请求,业务接入请求中携带了用户的互联网协议IP地址。
步骤S202,认证服务器向安全网关发送接入认证请求,接入认证请求中携带用户的IP地址。
步骤S203,业务服务器的安全网关接收认证服务器发送的接入认证请求。
步骤S204,安全网关确认认证服务器具有访问权限后,将用户的IP地址确定为具有访问业务服务器的权限的IP地址。
具体实施中,在认证服务器上部署一个WEB服务,通过设置WEB服务模块实现。通过WEB服务模块中的WEB接口从内容分发网络节点组接收用户发送的业务接入请求。WEB接口可以内嵌到业务服务器的服务流程中去,内嵌形式可以结合业务特点进行多样化处理。比如可以嵌入到业务服务器的登录流程后,具体过程为:在登录流程逻辑验证成功后,在代码里添加一个逻辑,将认证服务器的WEB服务通过统一资源定位符(Uniform ResourceLocator,简称URL)的形式推送给用户去访问。安全网关可根据认证服务器的IP地址确定认证服务器是否具有访问权限,还可以通过与认证服务器约定好的接入符号确定认证服务器是否具有访问权限。下面以认证服务器的IP地址为例进行说明:业务服务器的安全网关可预先将认证服务器的IP地址保存在设置的白名单中,认证服务器发送的接入认证请求中同时携带了认证服务器的IP地址。当安全网关接收到认证服务器发送的接入认证请求时,首先判断接入认证请求中携带的认证服务器的IP地址是否与白名单中的认证服务器的IP地址一致,若一致,则确定认证服务器具有访问权限,然后将认证服务器发送的用户的IP地址确定为具有访问业务服务器的权限的IP地址,并将用户的IP地址保存在白名单中。本发明实施例中,由于用户向业务服务器发送业务服务请求之前,先向认证服务器发送业务接入请求。认证服务器从内容分发网络节点组接收用户发送的业务接入请求后,然后将业务接入请求中的用户的IP地址发送至业务服务器的安全网关,故安全网关能根据认证服务器发送的用户的IP地址对接收的业务服务请求进行判决,而不是仅仅根据预先设置的单一的防范规则对用户的业务服务请求进行判决,从而提高了业务服务请求判决的准确性,增强了防攻击能力。由于使用CDN技术隐藏认证服务器的IP地址,防止了攻击者直接对认证服务器IP进行攻击,从而提高了防攻击能力。通过在认证服务器上部署一个WEB服务,并将WEB接口内嵌到业务服务器的服务流程中去,利用WEB接口接收用户发送的业务接入请求完成防攻击改造,从而简化了防攻击改造过程,可扩展性强。
可选地,认证服务器接收的业务接入请求是经过内容分发网络节点组验证通过后的请求,具体验证过程为:用户发送业务接入请求至CDN节点组,CDN节点组中通过WEB类接口接收用户发送的业务接入请求,然后通过黑名单判断用户发送的业务接入请求中携带的IP地址是否为攻击IP,若不是攻击IP,则将用户发送的业务接入请求发送至认证服务器。其中黑名单可根据用户访问次数确定,当用户访问次数在设定时间段内大于预设阈值时,将该用户的IP地址加入黑名单。需要说明的是,隐藏认证服务器IP地址的方法并不仅限于CDN,也可以使用代理服务器、使用盾机服务、使用域名导向等方法,本发明实施例不做具体限定。本发明实施例中的技术方案同样适用于业务服务器不能使用CDN的场景。由于使用CDN节点组对用户的业务接入请求进行验证后再发送至认证服务器,故认证服务器只将正常用户的IP地址发送至安全网关,从而避免了非法用户通过安全网关对业务服务器进行攻击。另外CDN技术隐藏认证服务器的IP地址防止了攻击者对认证服务器进行攻击,从而提高了防攻击能力。
可选地,认证服务器向安全网关发送接入认证请求之前,认证服务器对业务接入请求中携带的用户的验证信息进行验证。具体实施中,认证服务器对用户发送的业务接入请求进行验证的过程包括以下两种情况,下面结合具体实施例进行说明:
情况一、用户发送的业务接入请求可以指登录请求,认证服务器为登录服务器,验证信息为登录信息,其中登录信息可以包括用户名、密码、验证码等。用户可以使用客户端登录,也可以使用网页登录,登录信息可以由用户输入,也可以从储存在用户本地终端上的数据(cookie)中获取。具体实施中,用户进入登录页面后,在登录页面输入登录信息,用户端根据登录信息生成登录请求并将登录请求发送至认证服务器,其中登录请求中携带了用户的登录信息以及IP地址。认证服务器接收登录请求后,首先根据用户注册时保存的注册信息对登录请求中的登录信息进行验证,在确定登录请求中的登录信息合法时,向业务服务器的安全网关发送接入认证请求,同时向用户发送登录成功后的页面,其中接入认证请求中携带用户的IP地址。
情况二、业务接入请求可以指验证请求,验证信息为登录成功消息。用户在第三方登录服务器上登录成功并获取登录成功消息后,再向认证服务器发送验证请求。比如用户在登录页面上选择第三方登录方式中的QQ登录,并输入QQ账号和密码等登录信息,用户端根据登录信息生成登录请求并将登录请求发送至腾讯公司的登录服务器,腾讯公司的登录服务器将对登录请求中的登录信息进行验证,在确定登录请求中的登录信息验证通过时向用户端发送登录成功消息。用户端接收到登录成功消息之后显示登录成功后的页面,同时向认证服务器发送验证请求,验证请求中携带登录成功消息和用户的IP地址,认证服务器接收到验证请求后对验证请求中的登录成功消息进行验证,在确定登录成功消息验证通过时,向业务服务器的安全网关发送接入认证请求,接入认证请求中携带用户的IP地址。需要说明的是,本发明实施例中业务接入请求也不仅限于登录请求或者验证请求,也可以适用于不需要用户登录的实施场景,用户端可通过发送与认证服务器约定好的标识信息实现用户的认证。
用户向业务服务器发送业务服务请求之前,通过认证服务器对用户的业务接入请求进行验证,在确定业务接入请求合法时安全网关才允许用户的业务服务请求,故安全网关能有效过滤掉没有发送业务接入请求或者业务接入请求不合法的攻击者,从而避免了大量的攻击流量进入业务服务器。需要说明的是,在本发明实施例中,认证服务器在将业务接入请求中的用户的IP地址发送至安全网关之前,可以只利用CDN节点组对业务接入请求进行验证,也可以只利用认证服务器对业务接入请求进行验证,还可以先利用CDN节点组对业务接入请求进行验证,然后利用认证服务器对业务接入请求进行再次验证,上述三种实施方式可根据具体情况确定。
进一步地,用户发送的业务接入请求验证通过后,比如用户登录成功后进入登录成功后的页面,用户将根据实际的业务需求向业务服务器发送业务服务请求,如图3所示,具体包括以下步骤:
步骤S301,用户端发送业务服务请求至业务服务器的安全网关,业务服务请求携带用户的IP地址。
步骤S302,安全网关接收用户发送的业务服务请求。
步骤S303,安全网关根据用户的IP地址确定用户具有访问业务服务器的权限后,允许业务服务请求发送至业务服务器。
步骤S304,业务服务器接收安全网关发送的业务服务请求并对业务服务请求进行处理。
步骤S305,业务服务器将业务服务请求的处理结果发送至用户端。
具体实施中,安全网关可根据白名单确定用户是否有访问权限,安全网关在接收到用户发送的业务服务请求时,首先判断业务服务请求中携带的用户的IP地址与本地保存的白名单中用户的IP地址是否一致。若一致,则确定该用户具有访问业务服务器的权限,然后允许该用户的业务服务请求发送至业务服务器,否则不允许该用户的业务服务请求。由于所有用户的业务服务请求先需经过安全网关的判决后才能进入业务服务器,而安全网关的判决规则是根据认证服务器对用户的业务接入请求进行验证后确定的,从而一方面提高了安全网关的判决精度,保证了正常用户的业务服务请求,另一方面避免了非法攻击者的业务服务器请求进入业务服务器,保证了业务服务器的正常运行。
为了更好的解释本发明实施例,下面通过具体的实施场景描述本发明实施例提供的一种互联网防攻击方法的流程。以游戏玩家登录游戏页面并进行游戏操作为例进行说明,需要说明的是,本发明实施例并不仅限于游戏操作的场景,还可以是发邮件、视频点播等场景。设定玩家使用QQ账号登录游戏并进行游戏操作,其中登录服务器为腾讯公司的服务器,认证服务器和业务服务器为游戏公司的服务器,具体过程如图4所示,包括以下步骤:
步骤S401,玩家启动用户端的游戏客户端并选择第三方登录方式中的QQ登录方式。
步骤S402,用户端根据玩家输入QQ账号和密码生成登录请求并将登录请求发送至登录服务器。
步骤S403,登录服务器确定QQ账号和密码验证通过时,向用户端发送登录成功消息。
步骤S404,用户端显示登录成功后的页面。
步骤S405,用户端发送接入认证请求至认证服务器,接入认证请求中携带了登录成功消息和玩家的IP地址。
步骤S406,认证服务器通过WEB接口从CDN节点组接收用户发送的业务接入请求。
步骤S407,认证服务器对登录成功消息进行验证,并在验证通过后向业务服务器的安全网关发送接入认证请求,接入认证请求中携带玩家的IP地址以及认证服务器的IP地址。
步骤S408,安全网关确定接入认证请求携带的认证服务器的IP地址在本地保存的白名单中时,将接入认证请求携带的玩家的IP地址加入白名单。安全网关可以预先将认证服务器的IP地址加入白名单,并允许认证服务器对白名单进行更改。
步骤S409,玩家进入登录成功后的页面,根据具体需求进行游戏操作,用户端根据玩家的游戏操作生成业务服务请求,将玩家的业务服务请求发送至安全网关,业务服务请求中携带了玩家的IP地址。
步骤S410,安全网关确定玩家的IP地址在本地保存的白名单中时,允许业务服务请求发送至业务服务器。
步骤S411,业务服务器对玩家的业务服务请求进行处理,并将处理结果反馈至用户端。
上述实施例提供的一种互联网防攻击方法及认证服务器,包括:认证服务器通过WEB接口从内容分发网络节点组接收用户发送的业务接入请求,所述业务接入请求中携带用户的验证信息和用户的互联网协议IP地址;所述认证服务器对所述验证信息进行验证,并在验证通过后向业务服务器的安全网关发送接入认证请求,所述接入认证请求中携带所述用户的IP地址,所述接入认证请求用于指示所述安全网关允许携带所述用户的IP地址的业务服务请求发送至所述业务服务器。本发明实施例中,由于用户向业务服务器发送业务服务请求之前,先向认证服务器发送业务接入请求。认证服务器对业务接入请求中的验证信息进行验证,在确定验证信息合法时将业务接入请求中的用户的IP地址发送至业务服务器的安全网关,故安全网关能根据认证服务器发送的用户的IP地址对接收的业务服务请求进行判决,而不是仅仅根据预先设置的单一的防范规则对用户的业务服务请求进行判决,从而提高了业务服务请求判决的准确性,增强了防攻击能力。由于所有用户的业务服务请求先需经过安全网关的判决后才能进入业务服务器,故攻击流量不会直接进入源站,从而保证了源站的正常运行。由于使用CDN技术隐藏认证服务器的IP地址,防止了攻击者直接对认证服务器IP进行攻击,从而提高了防攻击能力。在进行防攻击改造时,只需在认证服务器中部署WEB服务并设置WEB接口给用户请求,从而简化了防攻击部署的流程,防攻击改造便捷。
基于相同的技术构思,本发明实施例还提供了一种认证服务器,如图5所示,包括:
接收模块501,用于从内容分发网络节点组接收用户发送的业务接入请求,所述业务接入请求中携带了用户的互联网协议IP地址;
处理模块502,用于向安全网关发送接入认证请求,所述接入认证请求中携带所述用户的IP地址,所述接入认证请求用于指示所述安全网关允许携带所述用户的IP地址的业务服务请求发送至所述业务服务器。
可选地,所述业务接入请求中携带了用户的验证信息;
所述处理模块502还用于:
向安全网关发送接入认证请求之前,对所述业务接入请求中携带的用户的验证信息进行验证。
可选地,所述业务接入请求是经过所述内容分发网络节点组验证通过后的请求。
可选地,还包括:WEB接口503;
所述WEB接口503用于接收所述用户发送的所述业务接入请求。
本发明实施例提供了一种计算设备,该计算设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)等。该计算设备可以包括中央处理器(Center Processing Unit,CPU)、存储器、输入/输出设备等,输入设备可以包括键盘、鼠标、触摸屏等,输出设备可以包括显示设备,如液晶显示器(Liquid Crystal Display,LCD)、阴极射线管(Cathode Ray Tube,CRT)等。
存储器,可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器提供存储器中存储的程序指令和数据。在本发明实施例中,存储器可以用于存储互联网防攻击方法的程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述任一项所述的方法。
本发明实施例提供了一种处理器,所述处理器用于执行上述任一项所述的方法。
本发明实施例提供了一种计算机存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述任一项所述的方法。
本发明实施例提供了一种计算机存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行互联网防攻击方法。
相应地,本发明实施例提供了一种安全网关,如图6所示,包括:
第二接收模块601,用于接收认证服务器发送的接入认证请求,所述接入认证请求携带有用户的IP地址;所述接入认证请求是用户发送的业务接入请求中发送的,所述用户的IP地址是从所述业务接入请求中获取的;
第二处理模块602,用于确认所述认证服务器具有访问权限后,将所述用户的IP地址确定为具有访问所述业务服务器的权限的IP地址。
可选地,所述第二处理模块602还用于:
接收所述用户发送的业务服务请求,所述业务服务请求携带所述用户的IP地址;
根据所述用户的IP地址确定所述用户具有访问所述业务服务器的权限后,允许所述业务服务请求发送至所述业务服务器。
本发明实施例提供了一种计算设备,包括:
该计算设备具体可以为桌面计算机、便携式计算机、智能手机、平板电脑、个人数字助理(Personal Digital Assistant,PDA)等。该计算设备可以包括中央处理器(CenterProcessing Unit,CPU)、存储器、输入/输出设备等,输入设备可以包括键盘、鼠标、触摸屏等,输出设备可以包括显示设备,如液晶显示器(Liquid Crystal Display,LCD)、阴极射线管(Cathode Ray Tube,CRT)等。
存储器,可以包括只读存储器(ROM)和随机存取存储器(RAM),并向处理器提供存储器中存储的程序指令和数据。在本发明实施例中,存储器可以用于存储互联网防攻击方法的程序指令;
处理器,用于调用所述存储器中存储的程序指令,按照获得的程序执行上述任一项所述的方法。
本发明实施例提供了一种处理器,所述处理器用于执行上述任一项所述的方法。
本发明实施例提供了一种计算机存储介质,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行上述任一项所述的方法。
本领域内的技术人员应明白,本发明的实施例可提供为方法、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管已描述了本发明的优选实施例,但本领域内的技术人员一旦得知了基本创造性概念,则可对这些实施例作出另外的变更和修改。所以,所附权利要求意欲解释为包括优选实施例以及落入本发明范围的所有变更和修改。
显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (13)
1.一种互联网防攻击方法,其特征在于,包括:
认证服务器从内容分发网络节点组接收用户发送的业务接入请求,所述业务接入请求中携带了用户的互联网协议IP地址;
所述认证服务器向安全网关发送接入认证请求,所述接入认证请求中携带所述用户的IP地址,所述接入认证请求用于指示所述安全网关允许携带所述用户的IP地址的业务服务请求发送至所述业务服务器。
2.如权利要求1所述的方法,其特征在于,所述业务接入请求是经过所述内容分发网络节点组验证通过后的请求。
3.如权利要求1所述的方法,其特征在于,所述业务接入请求中携带了所述用户的验证信息;
所述认证服务器向安全网关发送接入认证请求之前,还包括:
所述认证服务器对所述业务接入请求中携带的用户的验证信息进行验证。
4.如权利要求3所述的方法,其特征在于,所述业务接入请求为登录请求,所述验证信息为登录信息;或
所述业务接入请求为验证请求,所述验证信息为登录成功消息;所述登录成功消息是登录服务器确定所述用户的登录请求验证通过后发送的。
5.如权利要求1所述的方法,其特征在于,还包括:
所述认证服务器通过全球广域网WEB接口接收所述用户发送的所述业务接入请求。
6.一种互联网防攻击方法,其特征在于,包括:
安全网关接收认证服务器发送的接入认证请求,所述接入认证请求携带有用户的IP地址,所述用户的IP地址是从用户发送的业务接入请求中获取的;
所述安全网关确认所述认证服务器具有访问权限后,将所述用户的IP地址确定为具有访问所述业务服务器的权限的IP地址。
7.如权利要求6所述的方法,其特征在于,还包括:
所述安全网关接收所述用户发送的业务服务请求,所述业务服务请求携带所述用户的IP地址;
所述安全网关根据所述用户的IP地址确定所述用户具有访问所述业务服务器的权限后,允许所述业务服务请求发送至所述业务服务器。
8.一种认证服务器,其特征在于,包括:
接收模块,用于从内容分发网络节点组接收用户发送的业务接入请求,所述业务接入请求中携带了用户的IP地址;
处理模块,用于向安全网关发送接入认证请求,所述接入认证请求中携带所述用户的IP地址,所述接入认证请求用于指示所述安全网关允许携带所述用户的IP地址的业务服务请求发送至所述业务服务器。
9.如权利要求8所述的认证服务器,其特征在于,所述业务接入请求中携带了用户的验证信息;
所述处理模块还用于:
向安全网关发送接入认证请求之前,对所述业务接入请求中携带的用户的验证信息进行验证。
10.如权利要求8所述的认证服务器,其特征在于,所述业务接入请求是经过所述内容分发网络节点组验证通过后的请求。
11.如权利要求8所述的认证服务器,其特征在于,还包括:WEB接口,
所述WEB接口用于接收所述用户发送的所述业务接入请求。
12.一种处理器,其特征在于,所述处理器用于执行权利要求1至5或权利要求6至7中任一项所述的方法。
13.一种计算机存储介质,其特征在于,所述计算机可读存储介质存储有计算机可执行指令,所述计算机可执行指令用于使所述计算机执行权利要求1至5或权利要求6至7中任一项所述的方法。
Priority Applications (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710791391.7A CN107612895B (zh) | 2017-09-05 | 2017-09-05 | 一种互联网防攻击方法及认证服务器 |
| US16/083,204 US11019383B2 (en) | 2017-09-05 | 2018-04-02 | Internet anti-attack method and authentication server |
| EP18803307.0A EP3481029B1 (en) | 2017-09-05 | 2018-04-02 | Internet defense method and authentication server |
| PCT/CN2018/081561 WO2019047513A1 (zh) | 2017-09-05 | 2018-04-02 | 一种互联网防攻击方法及认证服务器 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710791391.7A CN107612895B (zh) | 2017-09-05 | 2017-09-05 | 一种互联网防攻击方法及认证服务器 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107612895A true CN107612895A (zh) | 2018-01-19 |
| CN107612895B CN107612895B (zh) | 2020-07-10 |
Family
ID=61057214
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710791391.7A Active CN107612895B (zh) | 2017-09-05 | 2017-09-05 | 一种互联网防攻击方法及认证服务器 |
Country Status (4)
| Country | Link |
|---|---|
| US (1) | US11019383B2 (zh) |
| EP (1) | EP3481029B1 (zh) |
| CN (1) | CN107612895B (zh) |
| WO (1) | WO2019047513A1 (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109460653A (zh) * | 2018-10-22 | 2019-03-12 | 武汉极意网络科技有限公司 | 基于规则引擎的验证方法、验证设备、存储介质及装置 |
| WO2019047513A1 (zh) * | 2017-09-05 | 2019-03-14 | 网宿科技股份有限公司 | 一种互联网防攻击方法及认证服务器 |
| CN109802963A (zh) * | 2019-01-17 | 2019-05-24 | 四川长虹电器股份有限公司 | 一种通过数据质量防火墙验证数据的方法 |
| CN110545541A (zh) * | 2019-09-20 | 2019-12-06 | 百度在线网络技术(北京)有限公司 | 防御攻击行为的方法、装置、设备、终端和介质 |
| CN111131276A (zh) * | 2019-12-27 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、设备及介质 |
| CN112532590A (zh) * | 2020-11-06 | 2021-03-19 | 北京冠程科技有限公司 | 软件安全边界系统及方法 |
| CN112583849A (zh) * | 2020-12-25 | 2021-03-30 | 深圳深度探测科技有限公司 | 一种采用ip策略包提升服务器安全性的方法 |
| CN113852681A (zh) * | 2021-09-22 | 2021-12-28 | 深信服科技股份有限公司 | 一种网关认证方法、装置及安全网关设备 |
| CN114422252A (zh) * | 2022-01-21 | 2022-04-29 | 中国农业银行股份有限公司 | 一种身份认证方法及装置 |
| CN115208593A (zh) * | 2021-03-26 | 2022-10-18 | 南宁富联富桂精密工业有限公司 | 安全性监测方法、终端及计算机可读存储介质 |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20210194930A1 (en) * | 2019-12-18 | 2021-06-24 | GreyHeller, LLC. (DBA Appsian) | Systems, methods, and devices for logging activity of a security platform |
| US11870768B1 (en) * | 2020-04-10 | 2024-01-09 | Cisco Technology, Inc. | Certificate-based techniques to securely onboard a radio interface unit |
| CN112311769B (zh) * | 2020-09-29 | 2022-06-24 | 新华三信息安全技术有限公司 | 安全认证的方法、系统、电子设备及介质 |
| CN113726774B (zh) * | 2020-10-13 | 2023-05-02 | 杭州涂鸦信息技术有限公司 | 客户端登录认证方法、系统和计算机设备 |
| TWI759908B (zh) * | 2020-10-15 | 2022-04-01 | 威聯通科技股份有限公司 | 產生授權允許名單的方法與利用其之資安系統 |
| CN114915435B (zh) * | 2021-02-09 | 2024-03-19 | 网联清算有限公司 | 一种业务数据访问方法及系统 |
| CN114244548B (zh) * | 2021-04-12 | 2023-10-13 | 无锡江南计算技术研究所 | 一种面向云ide的动态调度和用户认证方法 |
| EP4096182A1 (de) * | 2021-05-27 | 2022-11-30 | Siemens Aktiengesellschaft | Verfahren zur gesicherten einräumung eines zugriffs auf daten und/oder ressourcen und gateway-komponente |
| CN113746846B (zh) * | 2021-09-06 | 2023-08-08 | 滨州学院 | 基于大数据的计算机网络安全访问处理系统 |
| CN115208652A (zh) * | 2022-07-07 | 2022-10-18 | 广州市大周电子科技有限公司 | 一种动态网络资源访问管控方法 |
| CN115225415B (zh) * | 2022-09-21 | 2023-01-24 | 南京华盾电力信息安全测评有限公司 | 用于新能源集控系统的密码应用平台及监测预警方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP1712975A1 (en) * | 2005-04-14 | 2006-10-18 | Nederlandse Organisatie Voor Toegepast-Natuurwetenschappelijk Onderzoek Tno | Method and system for authenticating a terminal or terminal user |
| US20080276304A1 (en) * | 2004-04-14 | 2008-11-06 | Eugenio Maria Maffione | Method and System for Handling Content Delivery in Communication Networks |
| CN102271136A (zh) * | 2011-08-16 | 2011-12-07 | 赛尔网络有限公司 | Nat网络环境下的访问控制方法和设备 |
| CN102984115A (zh) * | 2011-09-02 | 2013-03-20 | 中国长城计算机深圳股份有限公司 | 一种网络安全方法、及客户端服务器 |
| CN105530226A (zh) * | 2014-09-30 | 2016-04-27 | 中国电信股份有限公司 | 内容分发网络系统及其接入控制方法和系统 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7769838B2 (en) * | 2001-08-23 | 2010-08-03 | The Directv Group, Inc. | Single-modem multi-user virtual private network |
| US20040019801A1 (en) * | 2002-05-17 | 2004-01-29 | Fredrik Lindholm | Secure content sharing in digital rights management |
| JP2005056207A (ja) * | 2003-08-05 | 2005-03-03 | Sanyo Electric Co Ltd | ネットワークシステム、宅内機器制御サーバおよび仲介サーバ |
| US9374361B2 (en) * | 2014-07-03 | 2016-06-21 | Verizon Patent And Licensing Inc. | Cross-native application authentication application |
| CN107612895B (zh) * | 2017-09-05 | 2020-07-10 | 网宿科技股份有限公司 | 一种互联网防攻击方法及认证服务器 |
-
2017
- 2017-09-05 CN CN201710791391.7A patent/CN107612895B/zh active Active
-
2018
- 2018-04-02 WO PCT/CN2018/081561 patent/WO2019047513A1/zh unknown
- 2018-04-02 EP EP18803307.0A patent/EP3481029B1/en active Active
- 2018-04-02 US US16/083,204 patent/US11019383B2/en active Active
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20080276304A1 (en) * | 2004-04-14 | 2008-11-06 | Eugenio Maria Maffione | Method and System for Handling Content Delivery in Communication Networks |
| EP1712975A1 (en) * | 2005-04-14 | 2006-10-18 | Nederlandse Organisatie Voor Toegepast-Natuurwetenschappelijk Onderzoek Tno | Method and system for authenticating a terminal or terminal user |
| CN102271136A (zh) * | 2011-08-16 | 2011-12-07 | 赛尔网络有限公司 | Nat网络环境下的访问控制方法和设备 |
| CN102984115A (zh) * | 2011-09-02 | 2013-03-20 | 中国长城计算机深圳股份有限公司 | 一种网络安全方法、及客户端服务器 |
| CN105530226A (zh) * | 2014-09-30 | 2016-04-27 | 中国电信股份有限公司 | 内容分发网络系统及其接入控制方法和系统 |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2019047513A1 (zh) * | 2017-09-05 | 2019-03-14 | 网宿科技股份有限公司 | 一种互联网防攻击方法及认证服务器 |
| CN109460653A (zh) * | 2018-10-22 | 2019-03-12 | 武汉极意网络科技有限公司 | 基于规则引擎的验证方法、验证设备、存储介质及装置 |
| CN109460653B (zh) * | 2018-10-22 | 2021-06-25 | 武汉极意网络科技有限公司 | 基于规则引擎的验证方法、验证设备、存储介质及装置 |
| CN109802963A (zh) * | 2019-01-17 | 2019-05-24 | 四川长虹电器股份有限公司 | 一种通过数据质量防火墙验证数据的方法 |
| CN110545541B (zh) * | 2019-09-20 | 2023-06-23 | 百度在线网络技术(北京)有限公司 | 防御攻击行为的方法、装置、设备、终端和介质 |
| CN110545541A (zh) * | 2019-09-20 | 2019-12-06 | 百度在线网络技术(北京)有限公司 | 防御攻击行为的方法、装置、设备、终端和介质 |
| CN111131276A (zh) * | 2019-12-27 | 2020-05-08 | 腾讯科技(深圳)有限公司 | 一种认证方法、装置、设备及介质 |
| CN112532590A (zh) * | 2020-11-06 | 2021-03-19 | 北京冠程科技有限公司 | 软件安全边界系统及方法 |
| CN112583849A (zh) * | 2020-12-25 | 2021-03-30 | 深圳深度探测科技有限公司 | 一种采用ip策略包提升服务器安全性的方法 |
| CN115208593A (zh) * | 2021-03-26 | 2022-10-18 | 南宁富联富桂精密工业有限公司 | 安全性监测方法、终端及计算机可读存储介质 |
| CN115208593B (zh) * | 2021-03-26 | 2023-08-18 | 南宁富联富桂精密工业有限公司 | 安全性监测方法、终端及计算机可读存储介质 |
| CN113852681A (zh) * | 2021-09-22 | 2021-12-28 | 深信服科技股份有限公司 | 一种网关认证方法、装置及安全网关设备 |
| CN114422252A (zh) * | 2022-01-21 | 2022-04-29 | 中国农业银行股份有限公司 | 一种身份认证方法及装置 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107612895B (zh) | 2020-07-10 |
| US20200304853A1 (en) | 2020-09-24 |
| US11019383B2 (en) | 2021-05-25 |
| WO2019047513A1 (zh) | 2019-03-14 |
| EP3481029B1 (en) | 2020-05-13 |
| EP3481029A1 (en) | 2019-05-08 |
| EP3481029A4 (en) | 2019-07-03 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107612895A (zh) | 一种互联网防攻击方法及认证服务器 | |
| EP3044987B1 (en) | Method and system for verifying an account operation | |
| CN104917721B (zh) | 基于oAuth协议的授权方法、装置和系统 | |
| CN106339613B (zh) | 一种应用数据的处理方法、终端及服务器 | |
| US9881304B2 (en) | Risk-based control of application interface transactions | |
| US9462011B2 (en) | Determining trustworthiness of API requests based on source computer applications' responses to attack messages | |
| US20150350234A1 (en) | Manipulating api requests to indicate source computer application trustworthiness | |
| CN105306473B (zh) | 一种防止注入攻击的方法、客户端、服务器和系统 | |
| US20130254857A1 (en) | Preventing Unauthorized Account Access Using Compromised Login Credentials | |
| CN106878250B (zh) | 跨应用的单态登录方法及装置 | |
| CN104883367B (zh) | 一种辅助验证登陆的方法、系统和应用客户端 | |
| CN106034104A (zh) | 用于网络应用访问的验证方法、装置和系统 | |
| CN113536258A (zh) | 终端访问的控制方法及装置、存储介质及电子设备 | |
| CN108322416B (zh) | 一种安全认证实现方法、装置及系统 | |
| CN108900561A (zh) | 单点登录的方法、装置及系统 | |
| CN109861968A (zh) | 资源访问控制方法、装置、计算机设备及存储介质 | |
| CN110430167B (zh) | 临时账户的管理方法、电子设备、管理终端及存储介质 | |
| CN105429943B (zh) | 一种信息处理方法及其终端 | |
| CN109756460A (zh) | 一种防重放攻击方法及装置 | |
| CN106060097B (zh) | 一种信息安全竞赛的管理系统及管理方法 | |
| CN113452531A (zh) | 数据传输方法及装置 | |
| CN105429978B (zh) | 数据访问方法、设备及系统 | |
| CN107135076A (zh) | 一种无可信第三方的参与式感知激励机制实现方法 | |
| CN113992414A (zh) | 数据的访问方法、装置及设备 | |
| CN112291183B (zh) | 一种账号登录方法、系统及相关设备 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |